在2023年，世界经历了巨大的变革，然而网络攻击威胁仍在不断演进。其中，高级持续性威胁（APT）始终是最危险的一类威胁。随着全球性危机和地缘政治对抗活动升级，高级威胁格局进一步加剧。为了保护自身利益，企业组织需要做好网络安全事件的应对准备，并预测未来的发展趋势。

2023年APT预测回顾

近日，卡巴斯基公司的安全研究与分析团队GReAT对2024年高级威胁（APT）攻击的发展趋势进行了展望和预测，不过在具体分享其预测观点之前，首先回顾一下去年该团队对2023年高级威胁主要预测观点的实际结果。

预测1：破坏性攻击增加

实际结果：部分实现

2023年，一些东欧地区的政府机构遭到了一种名为CryWiper的数据擦拭器攻击，而ESET也发现了名为SwiftSlicer和WhisperGate的新型擦拭器。尽管从整体攻击数量上低于2022年，但2023年仍然发生了一些重大的破坏性攻击事件。

预测2：邮件服务器成为优先目标

实际结果：已实现

BlueDelta利用Roundcube Webmail漏洞攻击了多个组织；针对俄罗斯目标的Owowa更新版本将其部署与基于邮件的入侵链联系起来；TeamT5和Mandiant分析了UNC4841组织针对Barracuda电子邮件安全网关（ESG）设备所用的远程命令注入漏洞（CVE-2023-2868）。

预测3：新一代WannaCry或出现

实际结果：没有实现

在2023年，并没有新的网络流行病发生，这一预测并没有真实发生。

预测4：APT目标转向卫星技术、生产商和运营商

实际结果：没有实现

近年来，利用卫星技术进行攻击的唯一已知案例还是2022年的KA-SAT网络攻击事件。在2023年，研究人员并没有发现类似这种情况。

预测5：黑客入侵和泄密

实际结果：已实现

Micro-Star International（MSI）遭受了勒索软件攻击，导致BootGuard私钥被盗；研究机构Insikt Group报告了一组与BlueCharlie（以前被追踪为TAG-53）相关的威胁行为者。

预测6：更多APT集团将从Cobalt Strike转向其他替代方案

实际结果：没有实现

2023年，研究人员发现了与之类似的主要工具是BruteRatel，但Cobalt Strike目前仍被用作攻击的首选框架。

预测7：信号情报交付的（SIGINT-delivered）恶意软件

实际结果：已实现

根据研究机构发布的关于埃及反对派人物Ahmed Eltantawy被攻击事件调查报告，这位政治家成为“零日”攻击的目标，该攻击旨在通过间谍软件感染他的手机。

预测8：无人机攻击

实际结果：没有实现

2023年并未出现类似事件的报道。

2024年的APT预测

以下内容是GReAT团队对2024年APT攻击趋势的预测：

01

针对移动、可穿戴和智能设备的创造性利用兴起

研究人员发现了针对iOS设备的新型隐秘式间谍活动，称为“三角测量行动”。这些漏洞不仅影响智能手机和平板电脑，还扩展到笔记本电脑、可穿戴设备和智能家居设备。未来可能会看到更多针对消费设备和智能家居技术的高级攻击，不仅限于iOS设备，其他设备和操作系统也可能面临风险。威胁行为者还开始将监视范围扩展到智能家庭摄像头、联网汽车系统等设备。由于漏洞、配置错误或过时的软件，这些设备易受攻击，成为攻击者的目标。

02

用消费者和企业软件/设备构建新的僵尸网络

常用软件和设备存在漏洞，新的高危漏洞也会不时被发现。据Statista的数据显示，2022年发现的漏洞数量达到了创纪录的2.5万个。专用于研究漏洞的资源有限，无法及时修复，这引发了人们对可能出现新的大规模秘密建立的僵尸网络进行有针对性攻击的担忧。创建僵尸网络意味着在用户不知情的情况下，在多个设备上秘密安装恶意软件。APT组织可能对这种策略感兴趣，因为它可以隐藏攻击的目标性质，使防御者难以确定攻击者的身份和动机。僵尸网络可以作为代理服务器、中间C2集线器或潜在入口点，对攻击者的真实基础设施进行掩盖。

03

内核rootkit再次复苏

微软引入了现代安全措施，如KMCS、PatchGuard和HVCI，以减少rootkit和类似低级攻击的流行。然而，一些APT行为者和网络犯罪组织仍然成功地在目标系统的内核模式下执行恶意代码。近年来，出现了滥用Windows硬件兼容性程序（WHCP）的情况，导致Windows内核信任模型被破坏。

预计下述三个关键因素将进一步增强威胁行为者的这种能力：

• 地下市场中不断增长的EV证书和被盗代码签名证书需求；
• 更多的开发者账号被滥用，以通过微软代码签名服务（如WHCP）获得恶意代码签名；
• 在当前威胁参与者的TTP武器库中，自带易受攻击驱动程序持续增加。

04

由国家支持的网络攻击活动日益增多

据联合国估计，去年世界上发生了50多起正在进行的现实冲突，暴力冲突达到了二战以来的最高水平。现在任何政治对抗都必然包含网络元素，成为任何冲突的默认部分。2024年，预计黑客活动在地缘政治紧张局势加剧的情况下将增加，包括国家支持的网络攻击和针对媒体机构的攻击。黑客的目标包括数据窃取、IT基础设施破坏、长期间谍活动和网络破坏活动，个人和团体可能成为特定目标。这些攻击可能包括破坏个人设备以进入他们工作的组织，使用无人机定位特定目标，使用恶意软件进行窃听等等。

05

网络战成为地缘政治冲突的新常态

黑客行动主义在地缘政治冲突中表现突出。黑客活动分子通过实际的网络攻击（DDoS攻击、数据盗窃或破坏、网站入侵等）、虚假的黑客声明和深度伪造（Deepfakes）等方式影响网络安全。随着地缘政治紧张局势加剧，预计黑客活动将继续增加，并具有破坏性和传播虚假信息的特点。

06

供应链攻击即服务

攻击者通过供应商、集成商或开发人员来实现他们的目标。中小型企业缺乏APT攻击防护，成为黑客访问主要企业数据和基础设施的入口。供应链攻击的规模不可忽视，动机涉及经济利益和网络间谍活动。在2024年，供应链攻击可能进入新阶段，使用开源软件和影子市场提供的访问包。这使得攻击者可以接触到大量潜在受害者，并选择大规模攻击目标。

07

由生成式AI进行扩展的鱼叉式钓鱼攻击

聊天机器人和生成式人工智能工具越来越普遍且易于获取。威胁行为者也开始开发用于恶意目的的黑帽聊天机器人，如WormGPT。生成式AI工具不仅能快速编写有说服力和措辞精炼的信息，还能生成用于模拟和模仿特定个人风格的文档。在未来一年里，预计攻击者将开发新的方法来自动对其目标进行间谍活动。这可能包括从受害者的在线状态（如社交媒体帖子、媒体评论或撰写的专栏）自动收集与受害者身份相关的数据。

08

更多组织开始提供雇佣黑客的服务

黑客组织提供渗透系统和数据盗窃服务，客户包括私家侦探、律师事务所和商业竞争对手。目前，雇佣黑客组织的服务已超越网络间谍，延伸到商业间谍活动，可能收集竞争对手的并购、扩张、财务和客户信息。这种趋势在全球范围内蓬勃发展，预计将在明年继续扩大。一些APT集团可能扩大业务以产生收入并支持成员活动。

09

MFT系统处于网络威胁的前沿

MFT解决方案包含大量机密信息，包括知识产权、财务记录和客户数据，在现代业务运营中已成为不可或缺的一部分，它们促进了内部和外部的无缝数据共享。2023年涉及MFT系统的事件（如MOVEit和GoAnywhere）揭示了这些关键数据传输管道中的潜在漏洞。在2024年，针对MFT系统的威胁将继续升级，攻击者可能利用系统漏洞获取利益或造成严重中断。

参考链接：

Advanced threat predictions for 2024